"Ingodas Vytrastas" <ejs@no.where> wrote in message 
news:gqq4tj$c4h$1@trimpas.omnitel.net...
> krx wrote:
>
>> O bet tačiau, jei užkabinsiu tik ant filter/FORWARD, bet neužkabinsiu ant 
>> filter/INPUT, tai pačiam maršrutizatoriui skirti paketai jį pasieks? To 
>> aš irgi nenoriu palikti atviro.
>
> filter/INPUT taikoma routeriui, filter/FORWARD - tinklui už routerio.

Aš tą suprantu, tiesiog galvojau, kad darant ant prerouting'o DROP'ą, bus 
išvengta dvigubo darbo palaikyti dviejų grandinių tokias pačias taisykles.

> NAT atvejis, RDP prisijungimus permetam į vidinio tinklo kompus:
> -A INPUT -s $ip -p tcp --dport x:z -j ACCEPT
> ...
> *nat
> -A PREROUTING -p tcp --dport y -j DNAT --to X.Y.Z:3389
>
> Routeris užsuka SMTP kraniuką:
>
> -A INPUT -d $my_IP -p tcp -m tcp --dport 25 -j ACCEPT
> -A FORWARD -d $my_SMTP -p tcp --dport 25 -j ACCEPT
> -A FORWARD -p tcp --dport 25 -j LOG --log-prefix "FORWARD: SMTP out: "
> -A FORWARD -i $vidinis_eth -d 0/0 -p tcp --dport 25 -j REJECT
>
> 25 port'ą atidariau tiek per INPUT, tiek per FORWARD nes kartais keli 
> vidiniai kompai į SMTP kreipiasi išoriniu IP. Kodėl taip gaunas 
> neįsivaizduoju, BIND'o 'views' sustatyti tvarkingai.

Gal tiesiog pas klientus kas nors priburta? Arba sėdi koks nors SMTP 
"gėris"?